パン OS 7.1 カスタム DNS 署名ブロック一覧

パン OS 7.1 カスタム DNS 署名ブロック一覧

31477
Created On 09/25/18 17:39 PM - Last Modified 06/09/23 05:39 AM


Resolution


パロ ・ アルトのネットワークの顧客を独自の署名でパロ ・ アルトのネットワークがない可能性があります悪意のあるドメインが含まれるサードパーティ脅威インテリジェンスがあります。パン OS 7.1 を実行するすべてのパン OS デバイスでサポートされているまたはそれ以降、新しいパン OS 7.1 の機能によりカスタム DNS 署名ブロック リストを作成できます。

 

 

ソリューション:

  • この新しい機能により、スパイウェア対策プロファイルでの陥没穴機能で使用するドメインのカスタム リストを追加します。
  • この機能は以降パン OS デバイス、M-100、M-500 など、パノラマ VM 実行中パン OS 7.1 でサポート。

機能の詳細:

  • 外部動的リスト (EDL) を項目ごとに新しいカスタム DNS スパイウェア署名の作成します。
    • カスタム DNS 陥没署名の署名の名前は「不審な DNS クエリ (完全なドメイン名)」になります
    • プール内の範囲で自動的にリスト内の各アイテムの新しい署名 ID を作成します。
    • 署名の種類はスパイウェア、中程度となります
  • 制限
    • 任意のタイプの 30 Edl までサポートされています
    • 最大 50,000 のドメイン サポート (システム全体)
      • 50,000 以上のドメインが最初の 50,000 を撮影、その容量を示すシステム ログが生成を超えました。
      • 個々 のリストがすべてのリストの合計に制限はありませんが 50,000 を超えることはできません。
  • ハイエンド ・ プラットフォーム容量 (PA 5000 と PA-7000)
    • 任意のタイプの 30 Edl までサポートされています
    • 最大 150,000 の合計 IPs、合計 50,000 のドメイン
  • リモート サーバー上のドメイン リストのファイル名は、通常のテキスト形式である必要があります。
  • 1 行につき 1 つのドメイン
  • カウントは、プラットフォームの制限を超えた場合、コミットは失敗します

 

設定

 

  • [オブジェクト] タブでカスタム DNS 署名ブロック リストを構成できます > 外部動的リスト (旧ダイナミック ブロック リスト) ドメイン リストの種類を使用して。

edls.png

 

  • ブロック リストのアクションが [オブジェクト] タブで構成されている > アンチスパイウェア プロファイル。いずれかは、ドメインの種類ドロップ ダウン メニューに表示している外部動的リストを構成しました。

反スパイウェアのブロック list.png

 

  • 既定では陥没のアクションを伴う外部の動的リスト ドメイン パロアルト ネットワーク DNS 署名が表示されることに注意してください。
  • IPv4 陥没アドレスをパンの陥没穴はデフォルト、デフォルトします、として変更することができます希望

sinkhole.png

 

  • 外部の動的リストの構成は、次の CLI から設定できます。
# セット共有/<vsys vsys1="">外部リスト<tab>
-現在追加されたリストのリスト
<name>

# セット共有/<vsys vsys1="">外部リスト<name>
+ 説明説明
+ url url
 + タイプタイプ
> 定期的な繰り返し
<Enter>終了入力

# セット共有/< c15 > 外部リスト<name>タイプ<tab>
ドメインドメインリスト
ip ip リスト</tab> </name>   </Enter>       </name> </vsys> </name>    </tab> </vsys>

 

  • CLI からスパイウェア対策プロファイルの構成を設定できます。
# セット共有/<vsys vsys1="">プロファイルスパイウェア<profilename> <tab>
+ 説明説明 > ボットネット-ドメイン
ボットネット-ドメイン
> ルールルール
> 脅威-例外の脅威-例外
<Enter>終了入力

# セット共有/<vsys vsys1="">プロファイルスパイウェア AS1 ボットnet ドメイン<tab>
+ パケットキャプチャパケットキャプチャ
> ドメインのリストリスト (新しいオプションが追加されました) >
陥没陥没 (リストに共通の陥没設定)
 > 脅威-例外の脅威-例外
<Enter>終了入力

# set の共有/<vsys vsys1="">プロファイルスパイウェア AS1 ボットネット<tab>
</tab> -名前リスト</vsys> </Enter>       </tab> </vsys>  </Enter>       </tab> </profilename> </vsys> ... 完了ハンドラは、関連するドメインリストをピックアップ...
   <name>


# セット共有/<vsys vsys1="">プロファイルスパイウェア AS1 ボットネット-名前リスト<domain list="" name=""><tab>
アクション

# セット共有/<vsys vsys1="">プロファイルスパイウェア AS1 ボットネット-名前リスト<domain list="" name="">アクション<tab>
警告
許可
ブロック
陥没  </tab> </domain> </vsys>  </tab> </domain> </vsys></name>

 

  • 外部の動的リストすることができます手動で更新する次コマンドを使用します。
> 要求システム外部リスト更新タイプドメイン名カスタム dns ブロックリスト

EDL 更新ジョブがキューに入っています

 

  • 要求はジョブとしてキューに登録され、その状態は [ジョブの表示] コマンドを使用して確認することも、 WebUI でタスクを表示することもできます。
  • ジョブの種類が EDLRefresh
  • ダウンロードまたは EDL 更新の失敗は、システム・ログとms log に記録されます。

高可用性

  • 悪意のあるドメイン内部の脅威 ID のマッピングを含むテキスト ファイルはコミットごとにハ ピアに再作成されます。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHiCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language